新加坡個人資料保護法(Personal Data Protection Act 2012, PDPA)的基本原則之一在於可歸責性(Accountability)之建立,原因在於個資保護的責任歸屬,是組織對個資的持有與控制所為的承諾與責任表示。因此,PDPA第11、12條之法遵責任,組織必須對所持有或控制的個資負責,並且需制定並實施資料保護政策、溝通並告知員工相關政策、及履行PDPA義務所必須施行之流程與作法。於組織責任而言,PDPA雖有強制性義務責任,但應忖量組織內部責任歸屬的措施,而非僅將責任落於遵守法律的程度,組織必須從合於法規的方法轉為基於責任歸屬的方法來管理個人資料。
從而,該指南在政策、人員、流程等領域中透過資料生命週期的循環,確立組織責任歸屬。從落實良好的責任制始於組織領導力的概念出發,設定組織管理高層之職責與調性,繼而規劃處理個資及管理資料風險的方法。並由組織人員治理面向,確立溝通資訊與員工培訓知識與資源。除此之外,也在特定流程設置上,紀錄個人資料流動,了解如何收集、儲存、使用、揭露、歸檔或處理個人資料為流程的首要任務,繼而確認資料保護層面主要的差距與需要改進的領域。再將資料保護實踐於業務流程、系統、商品或服務。
本文為「經濟部產業技術司科技專案成果」
日本從事農業者高齡少子化以致後繼無人,農業ICT(Information and Communication Technology)可使資深農民內隱知識外顯化而利於經驗傳承,例如已有地區透過除草機器人、自動運行農機等ICT農機,蒐集稻米收穫質量之數據進行分析,實作出施肥最適條件的成功案例。 然而成功案例之數據利用,延伸至其他地區實踐時卻顯得窒礙難行。首先是成本面,農場計測溫溼度等數據之感測器的設置、管理維護與通信等成本負擔,宛如藏寶洞前豎立之石門,不得其門而入。另一造門磚是農機或感測器等不同業者之系統服務互不相容,且數據無法互換共用,為求最適合特定地區與農作物之農業ICT組合,且能移植成功案例至其他地區,系統相容數據共用亦是當務之急。 日本農業數據協作平台(簡稱WAGRI),可為大喊芝麻開門之鑰,日本於2017年內閣府計畫支持下,由農業生產法人、農機製造商、ICT供應商、大學與研究機關等組成聯盟,一同建置具備「合作」(打破系統隔閡使數據得以相容互換)、「共有」(數據由提供者選定分享方式)、「提供」(由公私部門提供土壤、氣象等數據)三大功能之WAGRI,今年已有實作案例指出,活用WAGRI後,在數據蒐集與利用上的勞力與時間成本明顯縮減。 台灣農業同樣面臨高齡化、傳承之困境,日本WAGRI整合與共享數據的模式可作為我國發展農業ICT活用數據之參考。
世界經濟論壇發布《贏得數位信任:可信賴的技術決策》世界經濟論壇(World Economic Forum, WEF)於2022年11月15日發布《贏得數位信任:可信賴的技術決策》(Earning Digital Trust: Decision-Making for Trustworthy Technologies),期望透過建立數位信任框架(digital trust framework)以解決技術開發及使用之間對數位信任之挑戰。 由於人工智慧及物聯網之發展,無論個人資料使用安全性還是演算法預測,都可能削弱人民對科技發展之信賴。本報告提出數位信任路線圖(Digital trust roadmap),說明建立數位信任框架所需的步驟,以鼓勵組織超越合規性,指導領導者尋求符合個人與社會期望之全面措施行動,以實現數位信任。路線圖共分為四步驟: 1.承諾及領導(commit and lead):數位信任需要最高領導階層之承諾才能成功,故需將數位信任與組織戰略或核心價值結合,並從關鍵業務領域中(例如產品開發、行銷、風險管理及隱私與網路安全)即納入數位信任概念。 2.規劃及設計(plan and design):透過數位信任差距評估(digital trust gap assessment)以瞭解組織目前之狀態或差距,評估報告應包括目前狀態說明;期望達成目標建議;治理、風險管理與合規性(governance, risk management and compliance, GRC)調查結果;將帶來之益處及可減輕之風險;計畫時程表;團隊人員及可用工具;對組織之影響等。 3.建立及整合(build and integrate):實現數位信任需關注人員、流程及技術等三大面向。首先需確保人員能力、達成該能力所需之資源,以及人員溝通與管理;第二,定義組織數位信任流程,包括制定計劃所需時程、預算及優先實施領域,調整目前現有管理流程,並識別現有資料資產;最後,針對技術使用,可考慮使用AI監控、雲端管理系統以及區塊鏈等,以監測資料之使用正確性及近用權限管理。 4.監控及滾動調整(monitor and sustain):建立數位信任框架後,需持續建構相關績效及風險評估程序,以確保框架之穩定,並根據不斷變化的數位信任期望持續改善,以及定期向董事會報告。
美國佛羅里達州於2021年07月正式開放低速自駕貨車得於道路上行駛隨著新冠肺炎(COVID-19)帶來的影響,以及自動駕駛車輛(Autonomous Vehicle,下稱自駕車,自動駕駛稱為自駕)應用情境發展,美國佛羅里達州(State of Florida,下稱佛州)自2021年07月01日起正式讓低速自駕貨車(Low-Speed Autonomous Delivery Vehicle)可於其境內道路上行駛。 美國佛州首先在其州法典(Florida Statutes)有關全州統一性之車輛定義中,新增低速自駕貨車之定義,即配備毋須人類駕駛之自駕系統,且非設計作為載客運輸之車輛;此外,其須符合聯邦法規法典(Code of Federal Regulation, CFR)定義中之低速車輛(Low-Speed Vehicle),且須配備頭燈、剎車燈、方向燈、尾燈、反光設備以及車輛識別號碼,但不適用於該州其他低速車輛相關限制法規。惟如相關規定有與國家公路交通安全管理局(National Highway Traffic Safety Administration,即NTHSA)另外採用之聯邦規範相衝突時,則依NTHSA採用之規範。 此外,在該州法典亦明示低速自駕貨車在其境內道路上行駛之限制與條件: 1.低速自駕貨車原則僅能在速限低於時速為35英里以下之道路或街道上行駛。(但如該道路與速限超過時速35英里者相交,亦不影響低速自駕貨車穿越該相交路口) 2.低速自駕貨車在以下特定情形,可於速限為時速45英里以下之道路或街道上行駛: (1)低速自駕貨車在該等路段不會連續行駛超過1英里,不過該等路段之管轄單位有權針對連續行駛超過1英里的部分裁量是否放寬限制。 (2)低速自駕貨車並非為了轉向目的而獨立地在右側車道上行駛。 (3)在低速自駕貨車行駛於兩線道的道路或街道上,且後方有5輛以上的車輛時,後方車輛倘若因超車而可能駛入對向車道,或可能導致其他非安全之情境下,低速自駕貨車可在有充分安全駛離之處,自該兩線道的道路或街道駛離至限為時速45英里以下之道路或街道,以利後方車輛得繼續行駛。 3.低速自駕貨車之所有人、其遙控系統(Teleoperation System)之所有人、遠端操作人員(Remote Human Operator)或前開人員之組合式,必須為低速自駕貨車投保符合州法典明文之自駕車相關保險。
馬來西亞通過修正《個人資料保護法》馬來西亞個人資料保護委員會(Personal Data Protection commissioner,下稱個資保護委員會)於2023年度收受與個人資料(下稱個資)濫用、外洩相關申訴案件數量達779件,成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步,並加強個資遭洩漏時即時採取應變措施等相關政策,以解決前述憂心狀況,數位部(Ministry of Digital)於2024年7月10日提出《個人資料保護法》(Personal Data Protection Act 2010, PDPA)修正案,並於同年7月16日經下議院(Dewan Rakyat,馬來語直譯)表決通過。 本次PDPA修正重點包含: 1.設立個資保護官(data protection officer, DPO)制度:強制要求蒐集、處理、利用個資之資料控管者(data controller),及受資料控管者委託而實質處理個資之資料處理者(data processor),均需指派個資保護官。 2.擴張對於敏感性個資(sensitive personal data)定義:與個人身體、生理或行為特徵相關之技術處理所生個資(即生物辨識資料),皆屬之。 3.制訂個資外洩通報制度:強制要求發生個資外洩時須通報個資保護委員會,以及可能受到任何重大損害之個資當事人,惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性:在遵守技術可行性(technical feasibility)與資料格式相容性(data format compatibility)之情境下,允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務:舊法僅要求資料控管者須遵守PDPA所規定的安全原則(security principle);新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則:舊法對於違反個資保護原則者,最高僅得處300,000馬幣和/或2年監禁;新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正:原則允許資料控管者將個資傳輸至馬來西亞以外,惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當;並將跨境白名單制度調整為黑名單制度,不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA,彰顯該國政府對個資保護之重視,惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範,則仍須待修正案通過後,經個資保護委員會發布相關指引再行釐清。